프로세스 ID 한도 관리

개요

프로세스 ID(PID) 한도는 노드 안정성에 영향을 미칠 수 있는 과도한 프로세스 생성을 방지하기 위해 노드와 포드에 적용되는 Kubernetes 리소스 제약조건입니다. Apigee Hybrid는 프로세스 ID 한도 설정을 위한 Kubernetes 기능을 지원합니다. 이 문서에서는 특정 플랫폼의 Apigee 서비스 값에 대한 권장사항과 함께 한도를 설정하는 방법을 안내합니다.

Apigee Hybrid 사용자가 자체 클러스터를 관리하는 경우 Kubernetes에서 PID 한도를 설정하면 시스템 안정성, 보안, 리소스 관리를 개선할 수 있습니다. 이는 Kubernetes 권장사항과도 일치합니다.

프로세스 ID 한도 정의

프로세스 ID 한도에는 노드 PID 한도와 포드 PID 한도가 포함됩니다.

노드 PID 한도에는 kube-reserved PID와 system-reserved PID가 포함됩니다. 할당 가능한 PID의 총 수는 커널 최대값에서 kube-reserved PID, system-reserved PID, 제거 기준점 PID를 뺀 값입니다.

• 커널 최대 ID 한도: 운영체제 및 커널 설정에 따라 결정됩니다. Apigee Hybrid는 Linux 커널에서만 실행되므로 이 가이드에서는 Kubernetes 노드에 적용되는 Linus 기반 한도를 설명합니다. Linux 커널의 최대 프로세스 ID 한도는 4194304입니다.
• kube-reserved 및 system-reserved: Kubernetes 또는 OS 시스템 데몬의 리소스 예약용입니다.
• 제거 기준점: 노드에 압력이 가해지고 있음을 나타내는 한도입니다. 기준점을 충족하면 노드가 제거됩니다. 자세한 내용은 PID 기반 제거를 참조하세요.
• 할당 가능: 사용 가능한 PID 수입니다. 자세한 내용은 Kubernetes: 노드 할당 가능을 참조하세요. kube-reserved 및 system-reserved는 노드 PID 한도 설정으로 구성할 수 있습니다.

포드 PID 한도는 노드에 대해 구성할 수 있으며 노드 내의 모든 포드 간에 공유할 수 있습니다.

프로세스 ID 한도 관리 준비

이 절차에서는 다음 환경 변수를 사용합니다.

export PROJECT_ID=MY_PROJECT_ID
export CLUSTER_NAME=MY_CLUSTER_NAME
export LOCATION=MY_CLUSTER_LOCATION
export APIGEE_NAMESPACE=MY_APIGEE_NAMESPACE # Default: apigee

액세스 확인

프로세스 ID 한도를 구성하기 전에 Kubernetes 클러스터를 수정할 수 있는 액세스 권한이 있는지 확인하세요.

다음 단계는 GKE에 설치하는 경우에 적용됩니다. 다른 플랫폼의 경우 플랫폼 문서를 참조하세요.

1. IAM 정책에 roles/container.clusterAdmin이 있는지 확인합니다.

   gcloud projects get-iam-policy ${PROJECT_ID}  \
    --flatten="bindings[].members" \
    --format='table(bindings.role)' \
    --filter="bindings.members:your_account_email"
   

2. 액세스 권한이 없는 경우 계정에 역할을 추가합니다.

   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
    --member user:your_account_email \
    --role roles/container.clusterAdmin

기존 PID 한도 확인

새 한도를 구성하기 전에 노드에 기존 PID 제한이 있는지 확인합니다.

1. 클러스터에서 노드를 가져와 값을 확인합니다. apigee-data 및 apigee-runtime 노드 풀의 노드를 모두 확인해야 합니다.

   kubectl get nodes -n ${APIGEE_NAMESPACE}
   

   출력은 다음과 비슷하게 표시됩니다.

   NAME                                      STATUS   ROLES    AGE    VERSION
   gke-my-hybrid-apigee-data-0a1b2c3d-efgh      Ready       2d8h   v1.31.5-gke.1169000
   gke-my-hybrid-apigee-runtime-1b2c3d4e-fghi   Ready       2d8h   v1.31.5-gke.1169000
   

2. 이전 단계의 출력에서 노드 이름을 내보냅니다. 다음 단계를 먼저 apigee-data 노드에 대해 실행한 후, apigee-runtime 노드에 대해 다시 실행합니다.

   코드

   export NODE_NAME=MY_NODE_NAME
   

   예

   export NODE_NAME="gke-my-hybrid-apigee-data-0a1b2c3d-efgh"
   

3. 노드 PID 한도를 확인합니다. 다음 명령어를 사용하여 예약된 값을 확인합니다. 값이 null이면 값이 구성되지 않습니다.

   kubectl get --raw "/api/v1/nodes/${NODE_NAME}/proxy/configz" | jq '.kubeletconfig.kubeReserved'
   kubectl get --raw "/api/v1/nodes/${NODE_NAME}/proxy/configz" | jq '.kubeletconfig.systemReserved'
   kubectl get --raw "/api/v1/nodes/${NODE_NAME}/proxy/configz" | jq '.kubeletconfig.evictionHard'
   

4. 포드 PID 한도를 확인합니다. 다음 명령어를 사용하여 기존 포드 PID 한도를 확인합니다. 반환된 값이 -1이거나 비어 있으면 한도가 설정되지 않습니다.

   kubectl get --raw "/api/v1/nodes/${NODE_NAME}/proxy/configz" | jq '.kubeletconfig.podPidsLimit'
   

프로세스 ID 한도 관리

노드 PID 한도 관리

GKE에 설치하는 경우 Kubernetes 노드의 인프라 리소스는 내부적으로 관리되므로 구성할 필요가 없습니다. 현재 용량과 할당 가능한 리소스는 Google Kubernetes Engine 문서의 노드 할당 가능 리소스를 참조하세요.

GKE 이외의 플랫폼의 경우 해당 플랫폼의 Kubernetes 문서를 참조하세요. 클러스터/노드가 완전 관리형이 아닌 사용자 관리형인 경우 kube-reserved PID 한도와 system-reserved PID 한도를 Kubelet으로 구성할 수 있습니다. Kubernetes 문서의 노드 PID 한도를 참조하세요.

도구

이 절차에서는 Kubelet을 사용하여 프로세스 ID 한도를 관리합니다. Kubelet은 포드와 컨테이너에서 실행되는 에이전트로, PodSpec에 따라 실행되도록 합니다. Kubelet을 설치해야 하는 경우 Kubernetes 문서(kubeadm, kubelet, kubectl 설치)의 안내를 따르세요.

절차

1. kubelet-config.yaml이라는 Kubelet 구성 파일을 만듭니다.

   apiVersion: kubelet.config.k8s.io/v1beta1
   kind: KubeletConfiguration
   kubeReserved:
    pid: PID_VALUE # Example: 1000
   

   구성에 관한 자세한 내용은 Kubernetes 문서의 Kube Reserved를 참조하세요.

2. Kubelet 구성을 적용합니다.

   kubelet --config PATH_TO_KUBELET_CONFIG_YAML
   

포드 PID 한도 관리

한도 선택

PID 한도가 너무 낮게 설정되면 포드가 시작되지 않을 수 있습니다. 너무 높게 설정하면 리소스 비정상 동작을 감지하지 못할 수 있습니다. 적절한 한도를 선택할 때는 노드의 이전 동작과 서비스별 요구사항을 고려해야 합니다.

GKE에는 값에 필요한 범위가 있습니다([1024, 4194304]). GKE 플랫폼에서는 Google Cloud console 측정항목 탐색기에서 Kubernetes 서비스 계정의 상태를 확인할 수 있습니다. Kubernetes 노드 - PID 사용량 측정항목을 선택하고 필터를 적용합니다. 이 측정항목은 최근 프로세스 ID 사용량을 보여주며 PID 한도를 선택할 때 참조할 수 있습니다.

측정항목 탐색기

GKE 이외의 플랫폼에서는 다른 모니터링 옵션을 사용할 수 있습니다. 측정항목을 확인하려면 해당 플랫폼의 Kubernetes 문서를 참조하세요.

Apigee 포드의 프로세스 ID 요구사항

Apigee Hybrid는 apigee-data와 apigee-runtime이라는 두 개의 노드 풀을 사용합니다. 일부 Apigee 구성요소는 두 노드 풀 모두에 배포되므로 포드 PID 한도는 두 노드 풀에서 동일해야 합니다. 포드 PID 한도는 모든 Apigee 포드에 필요한 최대 PID 수보다 높아야 합니다. 필요한 Apigee 포드 PID 한도는 1,000으로, GKE 플랫폼의 최소 요구 수보다 낮습니다.

권장되는 포드 PID 한도

일부 플랫폼에서는 포드 PID 수 한도에 최솟값 요구사항을 적용하며, 이 경우 최솟값 요구사항이 선택됩니다.

절차

포드 PID 한도를 관리하는 절차는 GKE 플랫폼과 GKE 이외의 플랫폼에서 다릅니다.

프로세스 ID 한도 문제 해결

FailedScheduling 오류가 표시된 Pending 상태로 멈춘 포드

노드 또는 포드 PID 한도로 인해 포드가 시작되지 않거나 제거되면 포드가 Pending 상태로 멈추고 FailedScheduling 오류로 실패합니다.

1. 노드 열을 가져옵니다.

   kubectl get pods -n ${APIGEE_NAMESPACE} ${POD_NAME} -o wide
   

2. PIDPressure 조건이 있는지 확인합니다.

   kubectl describe node -n apigee ${NODE_NAME} | grep PIDPressure
   

3. 또는 해당 포드의 ApigeeDeployment를 확인합니다. 오류가 발생한 포드와 동일한 프리픽스를 가진 결과에서 ApigeeDeployment를 가져옵니다.

   kubectl get ApigeeDeployment -n ${APIGEE_NAMESPACE}
   

4. 최근 Events에 PID 관련 오류 메시지가 있는지 확인합니다.

   kubectl describe ApigeeDeployment -n ${APIGEE_NAMESPACE} ${APIGEE_DEPLOYMENT_NAME}
   

5. 원인이 PID 한도인 것으로 확인되면 노드 PID 한도 관리의 단계에 따라 PID 한도를 더 높은 값으로 업데이트합니다.

잘못된 podPidsLimit

GKE의 한도를 설정할 때 podPidsLimit이 한도를 초과하면 다음과 같은 오류가 표시됩니다.

ERROR: (gcloud.container.node-pools.update) ResponseError: code=400, message=Invalid podPidsLimit : value must be 1024 <= podPidsLimit <= 4194304.

podPidsLimit 값을 필수 범위 내로 업데이트합니다.